Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 214, views: 77.061 •
Submitter: Kinsmir

WhatsApp blijkt een bug die het mogelijk maakt om de status van een andere gebruiker te veranderen, niet te hebben opgelost. Een hacker heeft een Windows-tool vrijgegeven waarmee de status van elke gebruiker kan worden aangepast.

Vrijdag schreef Tweakers.net over een kwetsbaarheid in het WhatsApp-protocol die het mogelijk maakte om van elke andere gebruiker de WhatsApp-status aan te passen. Een hacker demonstreerde de kwetsbaarheid op een website, WhatsAppStatus.net, waarop een bezoeker enkel iemands telefoonnummer hoefde in te voeren om de status te wijzigen. Het ging om de status die wordt getoond in de lijst met contactpersonen.

WhatsApp beloofde de kwetsbaarheid te dichten en voorkwam dat gebruikers de exploit van WhatsAppStatus.net nog konden gebruiken. Afgelopen maandag bezweerde een woordvoerder van de chatapplicatie dat het probleem definitief was opgelost. Niets blijkt minder waar; de kwetsbaarheid is nog steeds aanwezig en de hacker heeft een nieuwe tool vrijgegeven die dat bewijst.

"Ze hebben enkel onze website-ip geblokkeerd", zo is te lezen op de site. Daarom hebben de hackers een tool voor Windows vrijgegeven die precies hetzelfde doet. De applicatie blijkt inderdaad te werken; de WhatsApp-status van anderen wordt naar wens aangepast, hoewel een gebruiker WhatsApp moet afsluiten en opnieuw moet starten om de nieuwe update te zien.

Het programma is op eigen verantwoordelijkheid te gebruiken, waarschuwt de hacker, maar hij belooft dat hij geen gegevens opslaat en dat er geen spyware in de executable zit. De applicatie bevat volgens 43 virusscanners inderdaad geen malware.

Overigens hebben andere beveiligingsonderzoekers precies hetzelfde probleem in september al bij WhatsApp gemeld. Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

WhatsApp

Reacties (214)

Reactiefilter:-12140203+185+27+31
1 2 3 ... 10
Stelletje prutsers.
Ik vind het niet zo fijn als het mogelijk is dat andere mijn status wijzigen, stel je voor dat ze iets er op zetten wat niet door de beugel kan en mijn baas ziet dat?
Schandelijk.

Ik zou het niet meer dan raar vinden als er een boete wordt gegeven.
Mensen worden hier van de dupe. Dit kan erg vervelend uitpakken.
Ze hadden dit allang moeten oplossen vooral omdat het al sinds vorig jaar bekend is.

[Reactie gewijzigd door 1337mhz op 12 januari 2012 10:16]

Tsjah bij normale marktwerking was Whatsapp al lang weg geweest.
Als de maker van sloten van je voordeur een fout maakt waardoor je de voordeur zo kan openen koopt niemand meer sloten van dat merk. Nou is de bug van Whatsapp natuurlijk niet zo dramatisch als het toegang verlenen tot iemand zijn huis maar het geeft wel een duidelijk verschil aan.

Mensen hechten minder waarde aan digitale gegevens dan fysieke spullen. Als iemand zijn telefoon gejat wordt is het enige waarvoor je aangifte kan doen het verlies van je telefoon, niet de data die opgeslagen stond.
Volgens mij moet je dit toch meer zien als een aannemer die een huis bouwt en vergeet een degelijk slot in je bijkeuken te zetten waardoor iemand een poster achter je raam kan hangen.

Is allemaal niet netjes. Zeker niet als je bedenkt dat de aannemer zegt dat hij er een beter slot in heeft gezet en blijkt dat de dag erna iemand een andere poster achter je raam heeft gehangen.
lijkt me meer het vervangen van het naambordje bij de voordeur. als je deze redenatie gebruikt

Hij zit vast maar met een schroevedraaier kun je hem er zo afhalen......

[Reactie gewijzigd door WeeDzi op 12 januari 2012 15:00]

Bij het vervangen van dat naambordje hoef je niet door een beveiliging heen, bij het ophangen van die poster en het wijzigen van de status op Whatsapp zou je wel door een beveiliging heen moeten.
Geen beveiliging? en hoe noem je die kruiskop dan? een kruiskopschreovendraaier is in dat opzicht toch niet heel veel anders dan een sleutel het komt alleen wat meer voor en we gebruiken het over het algemeen als een bevestigings middel. Maar een slot is toch ook met een haarspeld te openen? Simpele sloten zoals een hangslot oid zijn ook maar 100 verschillende sleutels dan heb ik in feite toch ook de "tool"om het slot open te maken. Is het dan geen beveiliging?

Ik vind een kruiskop schroef een redelijk middel om iets te beveiligen zoals een naambordje..... Het geeft aan dat het is vast gemaakt en behoord tot de structuur waar het aan vast zit. Dat er niet een hangslot omheen zit geeft niet aan dat het geen beveiliging heeft. Ook al is de kruiskop makkelijker te omzeilen dan een hangslot. In praktijk zijn er maar wijnig mensen die een kruiskop dagelijks in hun binnenzak hebben.

Met deze tool die gemaakt is krijg je de sleutel of schroevendraaier in de hand gedrukt


Wat dat betreft kun je de beveiliging van Whatsapp misschien wel vergelijken met de kruiskop, gewoon te simpel voor wat het beschermd "je status".

[Reactie gewijzigd door WeeDzi op 12 januari 2012 16:19]

Het gaat niet zozeer om het feit dat het hier om digitale gegevens gaat, maar dat het om een netwerk gaat. Natuurlijk kun je overstappen naar Pingchat o.i.d. maar zolang je vrienden nog WhatsApp gebruiken heb je daar niks aan. Je sluit alleen jezelf buiten.

Ik heb vanaf het begin al bedenkingen gehad over WhatsApp. Wat voor organisatie zit hierachter en hoe verdienen zij geld. Ze kunnen alle berichten namelijk gewoon lezen, opslaan en wat niet al. Ze zijn in korte tijd enorm gegroeid en krijgen daardoor nu te maken met hackers etc.
tja, eigenlijk is hetgeen wat whatsapp/apple/google/facebook/etc doen met de berichten die jij hebt verstuurd gevaarlijker dat het wijzigen van statussen.
Eerlijk gezegd interesseert die status mij geen reet. Ik let er niet eens op. Het is natuurlijk wel slordig dat ze het in een halfjaar niet hebben kunnen repareren,.
Ze verdienen geld door het leveren van gegevens. Aan de hand van die gegeven kunnen reclame bureaus gerichter adverteren. Als voorbeeld zal je, wanneer dit goed wordt gebruikt, geen advertenties voor bijv sport opleidingen vinden in wijken waar alleen bejaarden wonen.
Dat is het idee achter gepersonaliseerd adverteren en profielen opbouwen ja, maar vziw doet Whatsapp hier niets mee. Zij leven in principe van het bedrag wat je betaald na het eerste jaar:
WhatsApp generates its money by asking $0.99 for the iPhone version. The Blackberry, Android and Symbian versions work with a subscription model of $1.99 per year. The subscription is for free in the first year.
http://www.quora.com/What-is-WhatsApps-business-model

Zelf geven ze aan dat dit winstgevend is:
WhatsApp is a growing and profitable startup with millions of users
http://www.whatsapp.com/join/
Ik ben zelf nooit gevraagd te betalen voor whatsapp (android), en heb het toch al langer dan een jaar. De datum die in about staat wordt vanzelf aangepast wanneer de periode eindigt. Dit is gewoon met de whatsapp uit de gewone market, niets illegale apk's of dergelijke. Als ik zo rondvraag naar anderen ervaren ze hetzelfde.
Dat is inderdaad het geval. Het is dus vrijwel onmogelijk dat WhatsApp hier zijn geld mee verdient... Ik denk persoonlijk dat het percentage betalende gebruikers ligt op iets van 5% van al de gebruikers (veel iphone users gebruiken ook bijv ping for iphone of dat imessage)
Nja me zusje en moeder hebben gewoon de inlog gegevens van me nichje gebruikt en zo gratis whats app op hun toestel gezet ( iphone users ) dus ook daar kom je omheen indien je wilt..
En met het uitkomen van de iPhone 4S was Whatsapp een paar dagen gratis, en hetzelfde met kerst. Dť momenten waarop veel users erbij komen.
Dat heb ik me ook lange tijd afgevraagd. Gebruik het programma inmiddels niet meer, maar ik wil wel weten hoe mijn oude data (onversleuteld) is opgeslagen. Ze blijken ook gegevens te verkopen en dergelijke.
Ook dat, en omdat dit soort applicaties (nagenoeg) gratis zijn. Het lijkt erop dat mensen veel willen opofferen voor iets dat gratis is en wat populair is. Zoals facebook en twitter. En kijk maar naar smartphones. Allemaal leuke nieuwe gadgets en mogelijkheden voor weinig geld... en men neemt alle tekortkomingen op de kop toe (zoals korte accuduur, koelkast formaat, etc)

Ik denk dat als whatsapp een serieus betaalde dienst zou zijn, mensen wel kritischer zouden zijn in het gebruik.
Een foutje kan natuurlijk worden gemaakt, dat gebeurt overal. Maar normaal gesproken zal die slotenmaker het slot direct vervangen voor een slot dat wel werkt.
Die slotenmaker moet wel, want zijn klanten betalen daarvoor...
Tsjah bij normale marktwerking was Whatsapp al lang weg geweest.
Ik denk dat het eerder komt omdat niemand ooit naar die status kijkt :P Ik bedoel, ik heb een aantal chats en iedereen waarmee ik whatsapp heeft een eigen chat waardoor ik nooit door mijn contacten hoeft te gaan maar dus ook nooit een status van iemand zal zien.

Edit: Al moet ik wel aangeven dat veel mensen klagen over onstabiele servers

[Reactie gewijzigd door Mellow Jack op 12 januari 2012 10:37]

Ik herinner me nog iets van Axa fietssloten en masterkeys, volgens mij worden deze nog steeds verkocht. :X
Het gratis en makkelijk gebruik van Whats App heeft meer voordelen dan nadelen, ook al is het zo lek als een teems, mensen houden van gratis.
Stel dat iemand er iets neerzet wat niet door de beugel kan kun je hem toch naar dit artiekel verwijzen. Maar idd slech dat het mogelijk is.
artiekel? :O

En wat zou er dan niet door de beugel kunnen? Het is maar een status verder niks en ik neem aan dat hij door de gebruiker zelf weer net zo snel te wijzigen is.

Natuurlijk is het een kwalijke zaak dat zoiets kan, maar verder zal het nou niet echt veel schade aanrichten.
Het is juist een voordeel, nu kan je zelf iets neerzetten wat niet door de beugel kan en je kan deze hack de schuld geven.
Paar keer getest, werkt niet..
Het stomme is ook dat ze al maanden de tijd hebben gehad om dit op te lossen.
Vendor contact timeline:
------------------------
2011-09-14: Initially contacted vendor
2011-09-14: Contact established to security team and sent advisory. Asked for feedback and patch timeline.
2011-09-23: No response from vendor. Asked for feedback and patch timeline.
2011-09-23: Vendor response asking for clarification regarding issue 2.
2011-10-14: Response sent regarding issue 2.
2011-10-26: No response from vendor. Asked for feedback and patch timeline.
2011-11-02: Feedback from vendor regarding issue 2.
2011-11-02: Asked for patch timeline of the other issues and coordinated publication.
2011-12-07: No response from vendor. Informed vendor of last chance to provide a patch timeline within 7 work days.
2011-12-14: No response from vendor.
2011-12-19: Public release without POC
(Issue 2 ging over de brute force mogelijkheid voor sms verificatie)

Zie: http://packetstormsecurity.org/files/108010/SA-20111219-1.txt

[Reactie gewijzigd door Zenuka op 12 januari 2012 16:37]

Echt ongelooflijk dat het nog steeds niet is aangepast. Als applicatie ontwikkelaar moet je dit soort gaten a.s.a.p. dichten dit is gewoon dom.
dat kan best wel eens heel veel werk zijn.

Als het communicatie protocol met de server van whatsapp verkeerd opgezet is en dit niet zomaar te weizigen / uitbreiden is zal je dit protocol toch opniew moeten ontwerpen en programmeren. niet iets wat je in een middagje tijd doet.
Maar wat je wel in de afgelopen maandag had kunnen doen, aangezien de bug al een poos bekend is!
Nogmaals.. hebben jullie het wel getest eigenlijk? Of geloven jullie ook dat een ei vierkant is als tweakers dat zegt?:P
Dat deze bug nog niet gefixt is, betekent niet dat de makers van WhatsApp hier niet mee bezig zijn. De laatste update (versie 2.7.1528) was op 28 december 2011, dus nog even geduld...
Waarom zouden ze de client moeten updaten voor iets wat op de server bijgehouden wordt. Het lijkt me dat je er zelf niks van merkt mocht het 'echt' opgelost zijn :)
Omdat de server het nu blijkbaar toestaat je status te veranderen zonder dat je die persoon hoeft te zijn.
De nieuwe clients moeten dus niet alleen het signaal geven dat de status aangepast moet worden maar ook iets erbij moeten doen om aan te geven dat het echt van hun af komt.
OK, nu ben ik het zat. Dag Whatsapp. Ik ga weer terug naar SMS/iMessage.

Zeggen dat het opgelost is en niks doen is simply not done. Ik heb niets te verbergen, maar ik wil niet weten wat voor security issues er nog meer in Whatsapp zitten.

--edit--
zijn er al alternatieven voor Whatsapp m.u.v. iMessage?

[Reactie gewijzigd door PdeBie op 12 januari 2012 10:16]

Je hebt eBuddy XMS, gebruik het zelf al een tijdje en ben er best tevreden mee. Ook komt het met een web interface. :)
Vind XMS van eBuddy ook heel goed. Is ook nog eens gemaakt door een Nederlands bedrijf!

Het is alleen niet zo populair. Daarnaast gebruik ik voor mensen die een Android telefoon hebben toch altijd Gtalk. Tevens kun je met mensen chatten die gewoon een gmail e-mail hebben.
Ook nog eens met Voice en Video ;) :D
Ja, ik gebruik ook eBuddy XMS. XMS heeft nog niet als zo veel vrienden als op Whatsapp maar dat komt vanzelf wel.
Ik heb er geen ervaring mee, maar met Viber kan je op Android en iOS berichtjes sturen en zelfs bellen (VOIP). http://www.viber.com/

Ik zit zelf te twijfelen om naar Google+ over te gaan en daar de messenger van te gebruiken.
Of gewoon massaal allemaal gaan Wordfeuden, en via het spelletje met elkaar chatten ;)
viber? Daar kan je ook mee bellen.
En is negatief in het nieuws gekomen omdat ze je adresboek leeg jatten...
Google talk ook. Als je twee telefoons hebt met Android 4.0 (of 2.3.4 met Gtalk1.3) kan je gewoon via Google talk met elkaar bellen. Als je dan op het microfoon icoontje drukt komt bij de ander gewoon een soort bel popup naar boven. Lijkt net alsof iemand je belt. Werkt verder goed bij een goede 3G of HSDPA en Wifi verbinding.

Tevens kan iedereen vanuit een browser op bijna elk OS via Gmail jou bellen :) En tevens via Google + en Google hangouts is ook geweldig :)

[Reactie gewijzigd door Texamicz op 12 januari 2012 11:08]

Er zijn al genoeg alternatieven :) Google Huddle, Facebook chat, Groupme, kakaochat etc.
http://www.jaxtrsms.com/ Gewoon gratis sms sturen naar iedereen zonder dat ze iets moeten installeren. Wel opletten tijdens jaxter installeren vanwege reclame.
SMS is uit. Leverbetrouwbaarheid van de sms-jes via internet laat vaak te wensen over.
Ik heb em anders wel meteen geinstalleerd. Mijn ouders hebben geen mobiel internet en daar stuur ik dan ook SMSjes naar toe. Als dit zonder reclame verstuurd wordt is dat mooi, even uitproberen dus en hopen dat het betrouwbaar is.

Edit: hoor net dat het wel reclame in de SMS stopt? Best logisch voor de kosten, maar dan gaat hij er hier weer uit.

[Reactie gewijzigd door Mikerd op 12 januari 2012 11:16]

er zijn gewoon tools voor om die weg te halen, helaas is me de naam ontschoten, maar je hebt een speciale app nodig om reclame uit je statusbar te clearen.
Je hebt geen romflash nodig.
ChatOn is ook erg leuk. Is erg vergelijkbaar met WhatsApp (koppeling dmv. Telefoonnummer).

Ik gebruik het sinds een paar dagen en tot op heden werkt het betrouwbaarder dan WhatsApp, IMO.

Op het moment van schrijven is het alleen voor Android. Bada, iOS, BlackBerry, WP7 en een webinterface komen binnenkort volgens de site.

Ow, en het programma is ontwikkeld door Samsung. Dus het zal ook wel standaard op Samsung toestellen komen in de toekomst denk ik.

[Reactie gewijzigd door BabyXL op 12 januari 2012 12:41]

Heb je het Łberhaupt geprobeerd? ik heb het vanaf werk en vanaf thuis geprobeerd ( die tool ) maar het werkt niet... Dus is volgens mij wel geblocked
Wel heel triest om alleen de IP te blocken en dan zeggen dat de bug gefixed is. Niet dat het ze klanten gaat kosten want iedereen blijft het gebruiken, maar wel slecht van het bedrijf!
Dus een IP-adres blacklisten is een fix, volgens de mannen (en vrouwen?) van Whatsapp? Pff, slechte zaak......
Ik vind het erg raar dat over zo'n dingen gelogen wordt door de makers van Whatsapp, ze konden toch ook wel voorspellen dat het wel ging ontdekt worden als ze alleen het IP gingen blokkeren?

Erg kwalijk dit, hun reputatie zal er ook wel niet mee verbeteren.
Wat een blunder van WhatsApp zeg. Dit kan ze nog wel eens duur komen te staan, je gebruikers voorliegen over dat het definief is opgelost, en dan alleen een IP blokkeren. Dramatisch
Ik heb niet het idee dat er nou een erg professionele organisatie achter whatsapp zit. Een ontwikkelaar die door de onverwachte populariteit van de app ineens veel aandacht krijgt maar er nog niet helemaal klaar voor is?
Erg onprofessioneel en een erg kwalijke zaak. Ik vraag me af hoe het dan zit met bijvoorbeeld Imessage of bbm? Want bbm bijvoorbeeld was volgens mij niet zo "hackbaar" of lek als een gevlochten maandje... Ik vraag me af of de hackers dan bijvoorbeeld niet in staat zijn om dan de whatsapp berichten te kunnen gaan lezen als ze nog eventjes doorgaan met het gehack.

Dat is wel een gevaar voor onze privacy...
Je privacy inleveren is een trade off van het gebruik van "gratis" diensten.
Het blokkeren van het ip adres van WhatsAppStatus.net om het probleem "definitief" op te lossen. Ik verbaas me de laatste tijd steeds vaker over hoe laconiek veel bedrijven omgaan met de beveiliging van hun applicaties.

Security through obscurity
1 2 3 ... 10

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013